プラットフォーム管理チートシート
この記事は、推奨されるベストプラクティスについて、アカウント管理者とワークスペース管理者に明確で主張のあるガイダンスを提供することを目的としています。 アカウント管理者またはワークスペース管理者は、Databricks アカウントのコスト、可観測性、データガバナンス、セキュリティを最適化するために、次のプラクティスを実装する必要があります。
セキュリティの詳細なベストプラクティスについては、 PDF「Databricks AWS Security Best Practices and Threat Model」を参照してください。
ベストプラクティス | インパクト | ドキュメント |
---|---|---|
Unity Catalogを有効化 | データガバナンス : Unity Catalog は、 Databricks ワークスペース全体で一元的なアクセス制御、監査、リネージ、およびデータディスカバリー機能を提供します。 | |
使用タグの適用 | 可観測性 :使用状況を関連するカテゴリに個別にマッピングします。 組織のビジネスユニット、特定のプロジェクト、その他のユーザーやグループにタグを割り当てて適用します。 | |
Use クラスターポリシー | コスト :自動終了(All-Purposeクラスターの場合)、最大クラスターサイズ、およびインスタンスタイプの制限を使用してコストを制御します。 可観測性 : クラスターポリシーで | |
サービスプリンシパルを使用してサードパーティソフトウェアに接続する | セキュリティ : サービスプリンシパルは、個々のユーザーの資格情報ではなく、サードパーティのサービスが直接Databricksに対して認証できるようにするDatabricks ID タイプです。 個々のユーザーの資格情報に問題が発生した場合でも、サードパーティのサービスは中断されません。 | |
SSOを設定する | セキュリティ : ユーザーがワークスペースにログインするために Eメール を入力する代わりに、ユーザーが ID プロバイダーを介して認証できるように Databricks SSO を設定します。 | |
SCIM 統合を設定する | セキュリティ : Databricks にユーザーを手動で追加する代わりに、ID プロバイダーと統合して、ユーザーのプロビジョニングとプロビジョニング解除を自動化します。 ユーザーが ID プロバイダーから削除されると、Databricks からも自動的に削除されます。 | |
アカウントレベルのグループでアクセス制御を管理する | データガバナンス : アカウントレベルのグループを作成して、ワークスペース、リソース、データへのアクセスを一括制御できます。 これにより、すべてのユーザーにすべてのアクセス権を付与したり、個々のユーザーに特定の権限を付与したりする必要がなくなります。 ID プロバイダーから Databricks グループにグループを同期することもできます。 | |
IP ホワイトリストに登録するための IP アクセスを設定する | セキュリティ : IP アクセス リストは、ユーザーがセキュリティで保護されていないネットワーク内の Databricks リソースにアクセスするのを防ぎます。 セキュリティで保護されていないネットワークからクラウドサービスにアクセスすると、特にユーザーが機密データや個人データへのアクセスを許可されている場合、企業にセキュリティリスクをもたらす可能性があります アカウントコンソールとワークスペースのIPアクセスリストを必ず設定してください。 | |
顧客管理 エンドポイントを地域エンドポイントで構成VPC | セキュリティ : 顧客管理VPC を使用すると、ネットワーク構成をより詳細に制御して、組織が必要とする可能性のある特定のクラウド セキュリティおよびガバナンス標準に準拠できます。 コスト : AWS サービスへのリージョン VPC エンドポイントは、AWS グローバルエンドポイントと比較して、より直接接続され、コストが削減されます。 | |
Databricks Secrets またはクラウド プロバイダーのシークレット マネージャーを使用する | セキュリティ : Databricks シークレットを使用すると、外部データソースの認証情報を安全に保存できます。 ノートブックに直接認証情報を入力する代わりに、シークレットを参照してデータソースに認証することができます。 | |
パーソナル アクセス トークン (PAT) に有効期限を設定する | セキュリティ : ワークスペース管理者は、ユーザー、グループ、サービスプリンシパルの PAT を管理できます。 PAT の有効期限を設定すると、トークンの紛失や、ワークスペースからのデータ流出につながる可能性のあるトークンの長期保存のリスクが軽減されます。 | |
予算アラートを使用して使用状況を監視する | 可観測性 :組織にとって重要な予算に基づいて使用状況を監視します。 予算の例としては、プロジェクト、移行、BU、四半期予算または年間予算などがあります。 | |
システムテーブルを使用してアカウントの使用状況を監視する | 可観測性 : システムテーブルは、監査ログ、データリネージ、課金利用など、アカウントの運用データの Databricksホスト型分析ストアです。 システムテーブルを使用して、アカウント全体の可観測性を確保できます。 |